Коммуникации и совместная работа
Поддержка Sarbanes-Oxley (SOX) и Compliance в Office 2007

Поддержка Sarbanes-Oxley (SOX) и Compliance в Office 2007

Попалась ссылка на отличную белую бумагу (whitepaper :-), обсуждающую поддержку требований регулирующих органов (compliance) на базе 2007 Microsoft Office System. Вместо описания специфических сертификатов, над получением которых Microsoft сейчас работает (как DoD 5015.2 – сертификат Министерства Обороны США на соответствие требованиям по управлению электронным контентом), в документе приводятся общие требования регуляторов и описываются решения, которые Microsoft предлагает своим клиентам для соответствия этим требованиям (например Sarbanes-Oxley). Среди них присутствуют такие продукты как SharePoint Server 2007, Excel Services 2007, Microsoft Office Forms Server 2007, Microsoft Exchange Server 2007 и другие.

Краткое содержание:

Compliance Features in the 2007 Microsoft Office System” showcases compliance-related features and extensibility opportunities within the 2007 Microsoft Office system, and demonstrates how the Office system can help you meet the demands of regulatory compliance. Out-of-the-box, the 2007 Office system provides many of the fundamental components required to support compliance regulations, such as auditing, records management, and data security. However, some degree of development and customization is necessary to tailor regulation-compliant solutions for particular organizations and environments. This paper provides examples of extending the platform to build custom compliance solutions for the financial services, healthcare, and accounting fields. The target audience includes developers, technical architects, and technical decision makers interested in delivering business solutions that leverage and extend the compliance-related feature set of the 2007 Microsoft Office system.

Автор документа (Joanna Bichsel), обсуждает его в своем блоге.

В этой связи также возникает интересный вопрос: как исходная версия Microsoft Office Solution Accelerator for Sarbanes-Oxley работает на Office 2007? Честно говоря, пока не знаю. По последней ссылке упоминаются а) идея и б) партнерские решения. Исходная версия с исходными кодами была доступна на GotDotNet.com, но в марте проект закрыли.

Я сегодня обсуждал этот вопрос с GMCS, у которых большой опыт по внедрению исходной версии MOSASO (и своих решений на его основе) в наших условиях. Решили, что попробуем и посмотрим, хотя из общих соображений особенных проблем быть не должно. Также будет интересно добавить новые возможности по workflow, управлению контентом, построению отчетности… 

7 thoughts on “Поддержка Sarbanes-Oxley (SOX) и Compliance в Office 2007

    • Author gravatar

      Во всей этой истории с S-Ox,  мне кажется что самое эффективное, что можно сделать – это запретить готовить финансовую отчетность в Excel. Какимы бы системы не были – они предоставляют значительно большую защиту от обмана для владельцев акций, чем user-friendly spreadsheets.

    • Author gravatar

      ИМХО глупость! Excel – это часть системы подготовки финансовой отчетности. Даже если у вас вся система состоит только из клиентского Excel, все равно есть организационные методы защиты от обмана. Собственно SOX делает довольно дорогую попытку это все организовать. В документе описываются дополнительные инструменты для повышения эффективности этого процесса. А главное, что толку запрещать конкретный инструмент. Возьмут другой 🙂

    • Author gravatar

      О чем и речь. Пока Excel – это часть системы подготовки финансовой отчетности любое ужесточение требований к корпоративным системам имеет мало смысла.
       
      Организационные методы??? Не смешите меня. Вы сами пробовали? Делали проект, который предотвратил изменение финансовой отчетности?
       
      Или Вы хотите сказать, что офис упрощает использование конкретных орг методов? Было бы интересно прочитать – можно конкретные примеры?
       
      Имхо, SOx делает бесперспективную попытку это организовать.
       
      Ок, согласен, запрещать надо не excel а использование любых внешних инструментов для подготовки отчетности. Отчеты должны идти из ERP or the like систем – тогда их будет сложно подделать.
       
      П.С. Я, конечно же, "манагер", но я не смог добиться за минуту того, чтобы комментарий был от моего имени. Так (no name) и стоит. За что мы и любим Вашу компанию. Нежно и регулярно. 🙂 (Галочка Use my profile information стоит, рсс фиды на http://www.live.com в соседнем окне успешно читаю – а здесь что же?)

    • Author gravatar

      ИМХО, все что далают или не делают компании зависит от того как они сами у себя выстраивают процессы при помощи организационных методов. ИТ являются частью процессов для обработки информации и одновременно её поставщиками в эти процессы. Точно так же как, например, молоток является частью процесса заколачивания гвоздей.
       
      Можно конечно обвинять молоток в том, что вы отбили себе пальцы, кторыми деражали гвозди, но это не очень продуктивно. Лучше подумать почему это произошло и что-то исправить в самом процессе: сходить на тренинг по забиванию гвоздей, или деражать их не пальцами, а чем-то другим, что не жалко отбить 🙂
       
      Точно так же и Excel мало виноват в том, что с вашей отчетностью есть какие-то проблемы. Например, не надо его использовать как базу данных, не нужно в процессе подготовки рассылать бесконечные копии по e-mail, потом пытаясь найти последнюю версию, не обязательно использовать именно его для сбора форм отчетности и т.д. Excel сделан скорее для извлечения данных из внешних источников (ERP, OLAP, БД) и их последующей интерпретации, анализа и моделирования. С выходом Excel Server в Office 2007, а так же PerformancePoint 2007 для бюджетирования многие из этих проблем решаются, но все равно вопрос правильной применимости как был так и остается.
       
      Если Вы прочитаете документ, о котором идет речь в исходном посте, то ИМХО многие вопросы о том, как Office 2007 может помочь в т.ч. с повышением эффективности процесса подготовки фин. отчетности. Workflow, пользовательские типы документов, политики, audit trail, шифрование документов, business intelligence, управление контентом и многое другое конечно же могут помочь (ну а в соответствующих руках – могут и нет 🙂  
       
      Например, на стр. 39 читаем: 

      Spreadsheet Management
      The Sarbanes-Oxley Act focuses on integrity and accuracy of financial reporting by publicly held companies. However, most publicly traded companies use Microsoft Office Excel spreadsheets to aggregate financial numbers from various divisions and applications for producing financial reports. The financial and logistics applications that generate these numbers incorporate numerous controls to ensure accuracy, completeness and integrity. But after these numbers make it into an Office Excel spreadsheet there is no way to ensure the integrity of the spreadsheet data and formulas.
       
      Sending spreadsheets through e-mail messages or even storing them on a file server is a major challenge for companies struggling to maintain financial compliance. When users open a spreadsheet, they can see everything—all sheets, all calculations, and even hidden cells. They are able to arbitrarily change formulas and values and then forward the spreadsheet to other people. This can result in multiple versions of the spreadsheet and no assurance as to the integrity of the calculations or transparency as to who changed what. Spreadsheets are a pain point for companies that need to comply with strict regulations stating that all financial documents must be secure, have integrity, and be completely audited.
       
      Excel Services addresses this issue by keeping the spreadsheet on an Office SharePoint Server 2007 site and using thin-client architecture to allow the user to view and interact with spreadsheets without having Office Excel installed on the client computer. Office Excel 2007 is required only to author the spreadsheet, not to view the published spreadsheet.
      Excel Services
      Excel Services has several advantages over using the Office Excel desktop application alone. First, by being posted to a Web Part, all viewers can see it in a centralized location where the original, posted document is protected from unauthorized changes. Users can download a copy of the spreadsheet and experiment with it but they can’t modify the original, official version of the document, which becomes part of the company’s official business record. As a result, there is one version of the spreadsheet for a company’s financial data. Authors can make cells editable so that an individual can perform calculations and models for themselves. Authors can also select which objects (such as a PivotTable dynamic view, a chart, or a list) or sheets that they want to be made public. Calculations are hidden so that all private and confidential information is not exposed.

      With Excel Services, the spreadsheet still has the look and feel of the familiar client. Key performance indicators (KPIs), out-of-the-box (OOB) features, and custom calculations are the same as with the Office Excel desktop experience. 
      Я сам проектов, о которых Вы спрашиваете, естественно не делал (я менеджер по продажам решений Microsoft), но клиенты, которым я продавал, в т.ч. Office, и партнеры делали, в т.ч. путем внедрения Sarbanes-Oxley, OLAP, методов использования Excel, о которых я говорю выше и т.д.
       
      К сожалению, я не понимаю в чем проблема с вашей авторизацией 🙁 Нужно использовать Microsoft Passport (Windows Live ID) и ваши данные подставляются автоматически, или можете вписывать их руками.

    • Author gravatar

      Имхо – проще отобрать молоток и заставить пользоватся станком, благо он уже есть. Да и заколачивать корпоративные гвозди молотком – стрелять из пушки по воробьям наоборот.
       
      Excel – прекрасные продукт! Очень удобный! Слишком удобный! 🙂 Особенно удобно в нем подправлять цифры. Например с помощью GoalSeek. 🙂
       
      Ключевое слово authors. Проблема S-Ox в том, что они обсуждают то, до чего легче дотянуться, в чем этому закону Microsoft и следует. И гордо отрапортовать, что теперь не одна муха не пролетит. Но root cause, ни сам S-Ox, ни Excel Services не лечат. Несмотря на то, что это интересная технология и я уверен найдет много прикладных применений. Но share holders как не контролировали процесс создания финансово
       
       
       

    • Author gravatar

      отчетности, так и не контролируют.
       
      П.С. Microsoft passport у меня есть, а вот распознавать spaces.live.com его не хочет. :)))

    • Author gravatar

      Подправленные цифры рано или поздно могут всплыть (Enron, WorldCom…). Если вы храните Excel таблицы в SharePoint 2007, то видно кто последний правил документ, кто его согласовывал и утверждал … Т.е. процесс контроля вполне можно поддержать. Опять же, вы правы, что есть и станки: в Аксапте, например, ведется полный audit trail и с правкой отчетности все не так просто как в Excel. Т.е. методы ИМХО есть, но как всегда встает вопрос цены контроля и отдачи 🙂

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.